Shellshock: Ataques por falhas no Bash passam dos 200 mil

A empresa de segurança Incapsula afirmou, nesta última segunda-feira, que já detectou e bloqueou mais de 200 mil tentativas de ataque que se aproveitariam das vulnerabilidades no GNU Bash. Descobertas na última semana e apelidadas de Shellshock, as brechas permitem a execução remota de códigos no momento em que o interpretador de comandos – padrão no Linux e em sistemas baseados em UNIX – é aberto pelo usuário ou por alguma aplicação.

O monitoramento feito pela companhia começou no último dia 25 e em apenas quatro dias o total de ataques, que miravam 4.115 domínios diferentes, bateu a marca dos 217 mil. “Durante este período, o ritmo deles quase dobrou, chegando a mais de 1.970 por hora”, escreveu Ofer Grayer, pesquisador e especialista em segurança da empresa. “Até agora, nosso sistema já registrou ataques baseados no Shellshock vindos de mais de 890 IPs pelo mundo.”

A maior parte dos bloqueios (68,27%) envolveu varreduras feitas por cibercriminosos, que pretendiam verificar a existência da brecha em diferentes servidores e domínios. Tentativas para estabelecer o acesso remoto representaram 18,37% das ameaças detectadas, enquanto 12,64% dos ataques bloqueados foram injeções de malware de DDoS, que pretendiam “transformar” o alvo em parte de uma botnet.

Quase 20% dos ataques vieram, aparentemente, dos Estados Unidos, enquanto pouco mais de 10% saíram da China. O Brasil, aliás, aparece em terceiro lugar nesta lista de fontes: daqui partiram 3,57% das tentativas de “exploração” das brechas no Bash.

Vale notar que o total de bloqueios relatado pela Incapsula engloba, obviamente, apenas os feitos pelo Firewall de aplicações web distribuído pela empresa. Ou seja, é bem provável que o número até agora seja bem maior – chegando, talvez, à casa do 1 bilhão, como estimou o site SecurityWeek.

Correções e prevenção – O termo Shellshock se referia, inicialmente, a apenas uma vulnerabilidade no Bash. Mas do dia 24 de setembro para cá, pelo menos outras cinco foram descobertas e cadastradas no National Vulnerability Database – incluindo uma registrada ainda nesta terça-feira. A lista completa você confere aqui (desconsidere o último item dos resultados desta busca).

Empresas e organizações responsáveis por distribuições de Linux e sistemas baseados em UNIX já liberaram correções pelo menos para as cinco primeiras brechas. A Apple, uma das últimas a fazer isso, disponibilizou nesta última segunda-feira patches para os OS X Lion, Mountain Lion e Mavericks. Mas como eles resolvem apenas duas das falhas (CVE-2014-6271 e CVE-2014-7169), é provável que outros ainda sejam liberados. Aliás, no Yosemite, que está em fase de testes, o Bash deve ser atualizado em update maior do sistema mesmo.

As correções, no entanto, não são as únicas formas de evitar ataques que exploram o Shellshock. Firewalls de aplicações e filtros de rede podem ser configurados para "bloquear pedidos que contenham a assinatura do ataque", como destacou o site Ars Technica.